|
| Trabajo Fin de Grado 2014-15 | | Metodología de gestión de riesgos desde la PYME para la PYME: Una guía práctica. |
EspecialidadesTecnologías de la Información
Tutor
ARIAS ANTÚNEZ, ENRIQUE
Descripción y Objetivos
La Auditoría de Sistemas de Información es una disciplina relativamente
nueva si la comparamos con otro tipo de auditorías como, por ejemplo, la
financiera. Sin embargo, la Auditoría de Sistemas de Información cada
vez tiene más relevancia por varios factores que permiten alcanzar los
siguientes objetivos:
- Optimización de los procesos de la empresa.
- Por tanto, mejora de la competitividad de la misma.
- Cumplimiento de la ley vigente.
- etc.
Una parte fundamental en la Auditoría de Sistemas de Información es
el análisis de riesgo. Un análisis de riesgo puede entenderse como el
estado del arte de una empresa, en este caso referido a los Sistemas de
Información, que va a permitir introducir elementos de mejora para
alcanzar los objetivos anteriormente citados.
No obstante, los estándares y metodologías existentes, son estándares y metodologías de máximos. Esto es, cubren un gran espectro de cosas (activos, amenazas y salvaguardas) que desde el punto de vista de poder ser gestionadas por una PYME resulta, sin ninguna duda, impracticable y fuera de lugar. Pero por otro lado, si es cierto que suponen un buen punto de partida para tratar estos temas de Auditoría de Sistemas de Información.
Es por eso por lo que surge este Trabajo Fin de Grado . En el trascurso de este Trabajo Fin de Grado se pretende adaptar , por parte de una PYME experta en Auditoría y Seguridad informática, las metodologías de máximos anteriormente descritas, a una metodología más adecuada para la PYME.
Este trabajo de adaptación se presentará mediante ejemplos prácticos que demostrarán los beneficios de esta adaptación.
Metodología y Competencias
La realización de este Trabajo Fin de Grado se realizará en conjunción
con una PYME de Albacete experta en Auditoría y Seguridad Informática.
Por tanto, dicha empresa actuará como cliente.
La metodología a
seguir en la adaptación propia de este Trabajo Fin de Grado, seguirá el siguiente plan de
trabajo:
1.- Estudio y análisis de los estándares vigentes en análisis de riesgos, haciendo hincapié en ISO2700 y MAGERIT.
2.- Adaptación de estos estándares y normativas a una metodología más cercana a la PYME.
3-. Propuesta de diferentes ejemplos prácticos de dicha adaptación que permitan una verificación y validación de la misma.
Medios a utilizar
Todo el software necesario está disponible en las instalaciones de la ESII.
Bibliografía
Familia ISO27000. Disponible de manera gratuita en la biblioteca de la UCLM.
Magerit. Disponible de manera gratuita en la web https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/.
Asignación
El Trabajo Fin de Grado ha sido a asignado a Don/Doña Juan Perete Pinar
|
|
